Adobe sta attualmente lavorando ad un fix che consenta di chiudere una vulnerabilità di Flash Player che, potenzialmente, può dare accesso alla webcam ed al microfono all’insaputa dell’utente. Questo problema è stato scoperto all’università Stanford, dove uno studente ha trovato la falla basandosi su tecniche scoperte qualche anno fa.
Parlando di tecnicismi, il pericolo arriva da un attacco che viene attraverso l’interfaccia dell’utente del software della webcam (o del microfono) che legittima l’azione in remoto sulla periferica rendendo possibili operazioni come la regolazione dell’opacità ed il posizionamento. Nel primo exploit del 2008 che ha interessato le webcam, l’azione coinvolgeva Adobe Flash Player Setting Manager, una pagina che veniva fatta visualizzare all’utente che era invogliato ad attivare la webcam ed il microfono, comandi che poi passavano al malintenzionato.
Trucchi del genere erano propinati attraverso i soliti veicoli quali giochi JavaScript, dove alcuni pulsanti del gioco appartenevano al software ludico, mentre altri a quello maligno che venivano poi dirottati per la pagina di Adobe Flash Player Setting Manager di cui si dice prima. Adobe, sulla vicenda del 2008, ha risposto in maniera appropriata, introducendo il codice acconcio per evitare di sfruttare la pagina Adobe Flash Player Setting Manager. La scoperta di questi giorni è che la pagina in questione di Adobe potrebbe essere accessibile in altra maniera. Di fatto quindi, la vulnerabilità del 2008 è la stessa del 2011, solo sfruttata attraverso un’altra tecnica.
Contattato dallo studente della Stanford che ha fatto la scoperta, Adobe non ha risposto in maniera rapida, ma ha poi assicurato che sta lavorando al fix in questione per risolvere il problema, e che quando sarà completato non sarà necessario un update della versione di Flash Player da parte degli utenti: le modifiche infatti riguardano il file SWF contenuto presso i server di Adobe, ed è questo che sta subendo le modifiche per risultare a prova di uso non contemplato. Tuttavia il metodo profilato per la risoluzione del problema da parte di Adobe non appare, a detta degli esperti, essere il migliore disponibile, perchè potrebbe portare ad altre falle tecnologiche che potrebbero ulteriormente confondere i programmatori e semplicemente ritardare la risoluzione della problematica.
